基本介紹
- 中文名:魚叉式攻擊
- 外文名:Spear phishing
- 學科:計算機
- 性質:網路釣魚攻擊
攻擊目標,網釣技術,連結操控,過濾器規避,網站偽造,電話網釣,WIFI免費熱點網釣,隱蔽重定向漏洞,如何防範,
攻擊目標
由於魚叉式網路釣魚鎖定之對象並非一般個人,而是特定公司、組織之成員,故受竊之資訊已非一般網路釣魚所竊取之個人資料,而是其他高度敏感性資料,如智慧財產權及商業機密。
網路釣魚是指誘導人們連線那些黑客已經鎖定的目標。這種攻擊方法的成功率很高,也非常常見。點擊連結、打開表格或者連線其他一些檔案都會感染病毒。一次簡單的點擊相當於為攻擊者開啟了一扇電子門,這樣他就可以接觸到你的內部弱點了。因為你已經同意他進入,他能夠接觸弱點,然後挖掘信息和授權連線。
網釣技術
連結操控
大多數的網釣方法使用某種形式的技術欺騙,旨在使一個位於一封信箱中的連結(和其連到的欺騙性網站)似乎屬於真正合法的組織。拼寫錯誤的網址或使用子網域是網釣所使用的常見伎倆。在下面的網址例子裡,http://www. 您的銀行.範例.com/,網址似乎將帶您到“您的銀行”網站的“示例”子網域;實際上這個網址指向了“示例”網站的“您的銀行”(即網釣)子網域。另一種常見的伎倆是使錨文本連結似乎是合法的,實際上連結導引到網釣攻擊站點。下面的連結示例:誠實,似乎將您導引到條目“誠實”,點進後實際上它將帶你到條目“謊言”。
另一種老方法是使用含有'@'符號的欺騙連結。原本這是用來作為一種包括用戶名和密碼(與標準對比)的自動登錄方式。例如,連結http://[email protected]/可能欺騙偶然訪問的網民,讓他認為這將打開www.google.com上的一個網頁,而它實際上導引瀏覽器指向members.tripod.com上的某頁,以用戶名www.google.com。該頁面會正常打開,不管給定的用戶名為何。這種網址在Internet Explorer中被禁用,而Mozilla Firefox與Opera會顯示警告訊息,並讓用戶選擇繼續到該站瀏覽或取消。
還有一個已發現的問題在網頁瀏覽器如何處理國際化域名(InternationalDomainNames,下稱IDN),這可能使外觀相同的網址,連到不同的、可能是惡意的網站上。儘管人盡皆知該稱之為的IDN欺騙或者同形異義字攻擊的漏洞,網釣者冒著類似的風險利用信譽良好網站上的URL重定向服務來掩飾其惡意網址。
過濾器規避
網釣者使用圖像代替文字,使反網釣過濾器更難偵測網釣信箱中常用的文字。
網站偽造
一旦受害者訪問網釣網站,欺騙並沒有到此結束。一些網釣詐欺使用JavaScript命令以改變地址欄。這由放一個合法網址的地址欄圖片以蓋住地址欄,或者關閉原來的地址欄並重開一個新的合法的URL達成。
還有一種由RSA信息安全公司發現的萬用中間人網釣包,它提供了一個簡單易用的界面讓網釣者以令人信服地重製網站,並捕捉用戶進入假網站的登錄細節。
為了避免被反網釣技術掃描到網釣有關的文字,網釣者已經開始利用Flash構建網站。這些看起來很像真正的網站,但把文字隱藏在多媒體對象中。
電話網釣
並非所有的網釣攻擊都需要個假網站。聲稱是從銀行打來的訊息告訴用戶撥打某支電話號碼以解決其銀行賬戶的問題。一旦電話號碼(網釣者擁有這支電話,並由IP電話服務提供)被撥通,該系統便提示用戶鍵入他們的賬號和密碼。話釣(Vishing,得名自英文Voice Phishing,亦即語音網釣)有時使用假冒來電ID顯示,使外觀類似於來自一個值得信賴的組織。
WIFI免費熱點網釣
網路黑客在公共場所設定一個假Wi-Fi熱點,引人來連線上網,一旦用戶用個人計算機或手機,登錄了黑客設定的假Wi-Fi熱點,那么個人數據和所有隱私,都會因此落入黑客手中。你在網路上的一舉一動,完全逃不出黑客的眼睛,更惡劣的黑客,還會在別人的計算機里安裝間諜軟體,如影隨形。
隱蔽重定向漏洞
2014年5月,新加坡南洋理工大學壹位名叫王晶(Wang Jing)的物理和數學科學學院博士生,發現了OAuth和OpenID開源登錄工具的"隱蔽重定向漏洞"(英語:Covert Redirect)]。
攻擊者創建一個使用真實站點地址的彈出式登錄視窗——而不是使用一個假的域名——以引誘上網者輸入他們的個人信息。
黑客可利用該漏洞給釣魚網站“變裝”,用知名大型網站連結引誘用戶登錄釣魚網站,壹旦用戶訪問釣魚網站並成功登入授權,黑客即可讀取其在網站上存儲的私密信息。
如何防範
黑客們是如何做到這些的?我們又應該如何保護自己呢?
美國工業控制系統網路應急回響小組(ICS-CERT)注意到面向各種人群和工業控制系統部門的網路釣魚行為。攻擊者希望能夠在目標設施中找到立足點,通常距離目標越近越好,當然任何立足點都可以發揮作用。對於有針對性的魚叉式網路釣魚,沒有人能夠保證不受其引誘,比如:
■ 一名流程工程師收到一份來自自動化合作夥伴或者供應商的電子郵件通知;
美國工業控制系統網路應急回響小組(ICS-CERT)注意到面向各種人群和工業控制系統部門的網路釣魚行為。攻擊者希望能夠在目標設施中找到立足點,通常距離目標越近越好,當然任何立足點都可以發揮作用。對於有針對性的魚叉式網路釣魚,沒有人能夠保證不受其引誘,比如:
■ 一名流程工程師收到一份來自自動化合作夥伴或者供應商的電子郵件通知;
■ 一名財務分析師收到帶有當前項目數據的電子郵件表格;
■ 一名經理收到一個關於競爭對手收購活動的網站連結。
攻擊者的目的是引誘受害人進入一個不能信任的網路位置,典型的方法是讓他打開一份被感染的PDF檔案、文檔檔案、表格、Java套用或者網站。從內部受保護網路向網際網路非置信區域的數據請求使得入侵者可以順利進入。
■ 一名經理收到一個關於競爭對手收購活動的網站連結。
攻擊者的目的是引誘受害人進入一個不能信任的網路位置,典型的方法是讓他打開一份被感染的PDF檔案、文檔檔案、表格、Java套用或者網站。從內部受保護網路向網際網路非置信區域的數據請求使得入侵者可以順利進入。
攻擊者通過使用像LinkedIn和Facebook這樣的資源選擇受害者,了解他們的社會關係;工作和BBS網站則可以了解供應商關係、角色和職責;甚至他們還可以藉助技術工具讀取位於公共網站上的授權檔案,了解目標機構正在使用的微軟Office,Adobe Acrobat以及Java的版本和安全補丁等級。
其他可能會公開的信息資源和主題包括:
■公關和媒體發布;
■股票、收購和財務聲明;
■政府和工業會議;
■ 政府資料庫;
■國際或者政治事件;
■ 供應商的成功案例或者契約獎項;
■ 社交媒體網站;
■ 工作和BBS網站。
其他可能會公開的信息資源和主題包括:
■公關和媒體發布;
■股票、收購和財務聲明;
■政府和工業會議;
■ 政府資料庫;
■國際或者政治事件;
■ 供應商的成功案例或者契約獎項;
■ 社交媒體網站;
■ 工作和BBS網站。
如果你發現自己已經被鎖定,保留住那封郵件,並同時密切關注自己的電子郵件和網路活動。不要想當然地認為自己被鎖定是一個孤立事件——這很可能是一次範圍更大的活動的一部分。
